资讯月刊下载

第121期(18-03)

2018年03月 - 总第121期
  • Java程序员开发常用的工具
  • 3月全球数据库排名:PostgreSQL 再迎暴涨
点击下载>>

第120期(18-02)

2018年02月 - 总第120期
  • 开源巨献:2017 年 Google 开源了这些超赞的项目
  • 关于区块链,程序员需要了解什么
点击下载>>

第119期(18-01)

2018年01月 - 总第119期
  • 编写高性能Java代码的最佳实践
  • 从15000个Python开源项目中精选的Top30,Github平均star为3707,赶紧收藏!
点击下载>>

更多月刊下载

活跃编辑

资讯编辑

原创新闻 [开源软件] Apache Tomcat全系再曝严重安全漏洞

Apache Tomcat全系产品再次爆出严重的安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞。 1. CVE-2014-0095:DoS(拒绝服务)漏洞 如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理线程,可能导致拒绝服务攻击。 受影响版本:Apache Tomcat 8.0.0-RC2~8.0.3 2. CVE-2014-0075:DoS(拒 ...
wangguo 评论(13) 有39253人浏览 2014-05-28 11 0

原创新闻 [互联网] 小米论坛800万注册信息遭泄露

5月14日,小米论坛用户注册信息被曝疑似泄露,称涉及大约800万左右的论坛注册用户,据悉泄露信息包括注册用户的用户名、密码、注册IP、邮箱等多种信息。 漏洞报告平台乌云网也披露了泄露信息。 此消息得到了小米公司的证实,小米公司表示,“确有部分2012年8月前注册的论坛账号信息被非法获取。2012年8月后注册小米账号的用户在本次事件中完全不受影响。” 小米公司称,这些账号信息此前已经进行了严 ...
wangguo 评论(13) 有11017人浏览 2014-05-15 6 2

转载新闻 [互联网] IE现新漏洞,XP无补丁

微软今天发布了2963983安全公告,从IE 6到IE 10的浏览器都被查出一种可远程执行代码的漏洞,用户访问特别设计过的恶意网站时会遭到类似处理电子邮件链接的攻击。目前漏洞并未广泛传播。 声明中微软表示: 引用成功利用此漏洞的攻击者可以获得当前用户的同等权限。如果当前用户登录使用了管理员权限,那么成功利用此漏洞的攻击者可以取得受影响系统的完整控制权。攻击者随后可安装程序,查看、更改或删除数 ...
WnouM 评论(5) 有8144人浏览 2014-04-28 0 2

转载新闻 [互联网] 思科:Java成91%恶意攻击的主要原因

思科的2014年度安全报告中指出:甲骨文公司的Java技术成为安全问题的主要来源。 根据思科最近的安全报告,在2013年,IT企业面对着各种各样的网络攻击和风险。但是,没有任何一项技术会遭到如此多的吐槽,除了Java。 思科的2014年度安全报告发现,Java占据了2013年所有安全问题91%的比例。 来自思科技术部门的技术主管莱维•贡德特向eWEEK(译注:美国互联网媒体)透露: 引用在观 ...
WnouM 评论(5) 有9772人浏览 2014-03-18 10 4

原创新闻 [互联网] PHP 5.4.26/5.5.10发布,安全修复版本

PHP开发团队近日发布了PHP 5.4.26和5.5.10两个版本。 这两个版本主要修复了一些bug,建议开发者升级至这两个版本。其中安全方面的bug如下: CVE-2014-1943:fileinfo模块的无限循环漏洞 CVE-2014-2270:file工具在确定可执行文件的类型时存在漏洞,恶意的可执行文件可导致file工具崩溃,进而执行任意代码 CVE-2013-7327:image ...
wangguo 评论(0) 有8108人浏览 2014-03-10 0 0

转载新闻 [互联网] 从“黑掉Github”学Web安全开发

本文转载自酷壳(CoolShell.cn),原文内容如下。 Egor Homakov(Twitter:@homakov 个人网站:EgorHomakov.com)是一个Web安全的布道士,他这两天把Github给黑了,并给Github报了5个安全方面的bug,他在他的这篇blog——《How I hacked Github again》(墙)说明了这5个安全bug以及他把Github黑掉的思路。E ...
WnouM 评论(8) 有49691人浏览 2014-02-10 8 5

转载新闻 [互联网] 著名杀软 McAfee 品牌将不复存在

在CES 2014消费电子展上,英特尔公司首席执行官Brian Krzanich正式对外宣布,旗下知名的杀毒软件McAfee(麦咖啡)的名字将被逐步淘汰,并且取而代之将会被命名为“Intel Security”。McAfee的更名,预示着英特尔公司将全面升级在安全领域的产品和服务。目前McAfee向Intel Security的转型已经正式开始,并且需要一年时间的过渡期。 英特尔公司还用“这是 ...
WnouM 评论(12) 有19539人浏览 2014-01-09 3 0

原创新闻 [开源软件] VPN服务器软件SoftEther VPN已经开源

SoftEther VPN是由日本筑波大学开发的分布式多协议VPN服务器软件,可以用来替代OpenVPN或微软提供的VPN服务器,它可以运行在Windows、Linux、Mac、FreeBSD和Solaris等多个平台上,目前该软件已经开放了其源代码。 SoftEther VPN提供的L2TP VPN服务器与Windows、Mac、iOS和Android等平台有着较好的兼容性,用户可以轻松从智能手 ...
tuhaihe 评论(1) 有26954人浏览 2014-01-06 1 0

原创新闻 [编程语言] PHP连发三个版本更新,修复OpenSSL安全漏洞

近日,PHP开发团队紧急发布了PHP 5.3.28、5.4.23和5.5.7三个版本更新,修复了漏洞 CVE-2013-6420。 漏洞级别:严重 漏洞说明: CVE-2013-6420,允许远程攻击以执行任意代码或导致拒绝服务(内存崩溃) 其他的Bug修复,可具体查看PHP 5.5.7更改记录、PHP5.4.23更改记录 、PHP 5.3.28更改记录。 PHP开发团队建议所有用户尽 ...
tuhaihe 评论(0) 有11284人浏览 2013-12-19 2 0

翻译新闻 [研发管理] 自上而下做好安全代码审查

安全的程序开发实践的一个关键方面就是安全代码审查。安全代码审查,与常规的代码审查一样,可以使用自动化工具完成,也可以要求开发者亲自参与到代码审查中人工完成。那么,安全代码审查与常规的代码审查有哪些差别、如何做到更有效的安全代码审查呢?大家可以通过本文了解一下。安全代码审查:对安全知识要求高常规的程序代码审查需要代码审查者具备业务、程序语言和相关技术知识的积累,安全代码审查则需要具备以下 3 个不同 ...
tuhaihe 评论(1) 有10346人浏览 2013-11-21 4 2

原创新闻 [互联网] NSA如何侵入Google和雅虎的私有数据网络?

斯诺登事件令世界一片哗然,人们都在为美国庞大的信息监控收集网络而感到担忧。 《华盛顿邮报》网站近日刊出了一篇文章,描述了NSA(美国国家安全局)和GCHQ(政府通讯总部)如何侵入Google和雅虎的内部网络——通过拦截了这两个公司在全世界范围内维护的巨大的数据中心的信息流。 一般情况下,Google和雅虎使用私有线路或租用线路来同步它们的数据中心。下面这张图以Google为例,来揭示NSA和GC ...
wangguo 评论(28) 有11088人浏览 2013-11-08 5 1

原创新闻 [互联网] Adobe遭攻击,Photoshop源码被泄露

Adobe遭受攻击的事件仍在继续发酵,目前来看,至少有3800万用户接到了密码重置相关的邮件,而源代码泄露可能已经波及到了Adobe的Photoshop产品。 本月3日,Adobe遭受到了黑客的攻击,Adobe称,黑客窃取了将近300万加密的客户信用卡记录,以及大量的Adobe用户登录数据。 上周末, AnonNews.org公布了一个名为users.tar.gz的大文件,其中包括了超过1. ...
wangguo 评论(7) 有12620人浏览 2013-10-30 10 0

原创新闻 [编程语言] 甲骨文发布 JDK 7u45,安全更新版本

甲骨文今天发布了JDK 7 Update 45。该版本是一个安全更新版本,其主要改进如下。 1. 安全方面的改进 LiveConnect 在新版本中,当Web页面发起LiveConnect对RIA的调用时,如果没有正确签名或配置,会出现一个新的安全警告。 预计在2014年推出的Java SE 7 Upate 51中,所有的RIA都需要由一个有效证书来签署,并包含一个新的权限属性。 该变 ...
wangguo 评论(6) 有12399人浏览 2013-10-16 3 0

原创新闻 [互联网] Web开发中常见的 9 个安全误区

安全是Web应用程序不容忽视的一个重要因素,而在Web应用开发中,一些开发者由于缺乏安全方面的意识,导致Web应用存在风险。下面来介绍Web开发中常见的一些安全误区。 1. 如果我们使用Web框架,那么不必担心安全问题 一些流行的框架比如Rails和 Django在编写之初已考虑到安全性问题,并帮助防止常见的漏洞问题。然而,它们并不能阻止业务逻辑出现的缺陷,比如设置产品数量为负数,这就可能给攻击 ...
WnouM 评论(6) 有11119人浏览 2013-10-09 17 4

原创新闻 [开源软件] Mozilla 推出 FuzzDB,安全测试用例数据库

Mozilla推出了FuzzDB开源项目,这是一个用于对应用程序进行Fuzz安全测试的攻击模式和发现模式数据库,也就是一个包含了各种安全攻击模式的测试用例集合。其中包括可用于识别特殊的服务器响应和文档资源的攻击模式、可预测的资源名称、正则表达式模式等等。 FuzzDB可以用来做什么? 你可以使用FuzzDB来测试Web应用程序的安全性,比如: 可结合流行的渗透测试工具(如OWASP Zap或 ...
wangguo 评论(2) 有9607人浏览 2013-08-21 1 1

原创新闻 [开源软件] Mozilla 推出开源的安全测试平台 Minion

据Mozilla(Firefox浏览器开发商)官方消息,Mozilla目前正与黑莓(BlackBerry)在安全方面进行合作,致力于Web安全测试技术的研究和推广。此外,Mozilla还推出了一个开源的安全测试平台Minion,来帮助更多的开发者和安全专业人员对应用程序进行安全方面的测试。 故障注入技术 Mozilla与黑莓一起进行的安全研究工作主要集中在故障注入(fault injecti ...
wangguo 评论(0) 有7409人浏览 2013-07-31 0 0

转载新闻 [互联网] Struts自爆漏洞利用代码为哪般?

  近日,很多安全公司和互联网公司安全部门的工程师们都没睡好觉,通宵达旦地在加班。  Struts 这个漏洞这次来势之所以这么凶猛,直接导致国内的很多银行、政府机构、几乎所有的大中型互联网公司,国外的包括苹果的开发者网站都被黑掉了,和 Struts 官方不负责任的态度有很大关系。Struts 这次在自己的漏洞公告中直接把漏洞利用代码给贴出来了,这是一种很罕见的做法。  从很多年前起,安全行业里默认 ...
yunzhu 评论(14) 有12229人浏览 2013-07-24 5 2

转载新闻 [Web前端] HTML5开发中的安全风险

本地储存功能的重大变化在HTML标准发展中引人注目,浏览器从只能使用cookies到能储存少量信息,如用于身份识别的会话令牌。而HTML5标准则引入了会话储存、本地储存和客户端数据库,开发者可以在浏览器中储存大量数据,所有这些数据都可以通过JavaScript访问。 这种策略的风险在于攻击者可以检索或操作数据,然后被应用程序再次使用,甚至可能上传到服务器被用于攻击其他人。 另一个风险与第三方代码 ...
WnouM 评论(1) 有12254人浏览 2013-06-24 2 0

原创新闻 [编程语言] Java 7u25发布,修复37个关键漏洞

甲骨文今天发布了Java 7u25版本,这是Java采用新的版本号命名方式后的首个关键补丁更新(CPU)版本。 该版本修复了40个安全漏洞,其中的37个漏洞可被远程利用,而无需用户名和密码。 受影响版本 JDK 和JRE 7 Update 21 及之前版本 JDK 和 JRE 6 Update 45及之前版本 JDK 和 JRE 5.0 Update 45及之前版本 JavaFX 2.2.2 ...
wangguo 评论(3) 有10965人浏览 2013-06-19 7 0

原创新闻 [企业架构] Apache Struts2 再现漏洞

Apache Struts团队上周刚修复了一个潜在的远程命令执行漏洞,今天再次发布新版本2.3.14.3,修复了另一个重要的安全漏洞。 Struts框架允许基于通配符的动作映射,且当一个请求不匹配动作时,会尝试加载一个基于动作名称的JSP文件。由于动作名称中可以嵌入OGNL表达式,因此这有可能导致攻击者在服务器端执行Java代码。 在新版本中,可以检查动作名称是否匹配正则表达式[a-z]*[A- ...
wangguo 评论(16) 有25561人浏览 2013-06-06 13 1

最近热门TAG

框架(605) SUN(327) Spring(267) JBoss(154) 应用服务器(143) performance(140) Hibernate(119) 企业应用(88) JSF(82) MVC(79) JavaEE(70) 虚拟机(68) Tomcat(67) Cache(65) 设计模式(62) Seam(59) DAO(58) SOAP(56) REST(56) 中间件(49)

热门资讯

Global site tag (gtag.js) - Google Analytics